怎樣判斷文件是否為惡意文件
使用電腦時(shí),往往會(huì)遇到一些不太可信的文件,如解除版游戲或軟件,算號(hào)器及注冊(cè)機(jī),小眾軟件,網(wǎng)購時(shí)對(duì)方給的文件等,這些東西有可能包含病毒木馬或者是會(huì)有修改IE設(shè)置等流氓行為;打開這些文件不安全,不打開不舒心;這時(shí)就需要一些方法判斷這個(gè)文件是否安全。以下學(xué)習(xí)啦小編整理的判斷文件是否為惡意文件的技巧,供大家參考,希望大家能夠有所收獲!
判斷文件是否為惡意文件的方法:
一、查看文件屬性
1、通過文件名判斷
查看文件屬性可以說是最簡(jiǎn)單快捷的一個(gè)方法。這個(gè)方法,只能對(duì)那些偽裝為正常文件的病毒木馬有效,而這類病毒多見于網(wǎng)購時(shí)和U盤里。其中最典型的是雙后綴和unicode反轉(zhuǎn)技術(shù),例如,某文件名為“照片.gif.exe”或者是“貨物exe.jpg”,這類文件幾乎可以肯定有問題。
這類文件前者是針對(duì)沒有在文件夾選項(xiàng)中取消“隱藏已知文件擴(kuò)展名”的用戶,該類用戶在收到“照片.gif.exe”時(shí),只能看到“照片.gif”,很容易誤以為這是一個(gè)后綴名為gif的圖片文件,打開這類文件幾乎可以肯定會(huì)出問題,當(dāng)然QQ和旺旺貌似都會(huì)對(duì)可執(zhí)行文件強(qiáng)制改名,很大情況上避免了這類事件的發(fā)生;后者主要是針對(duì)那些不夠細(xì)心的用戶,這類用戶看到陌生文件后往往不會(huì)認(rèn)真查看文件屬性,結(jié)果往往會(huì)將“貨物exe.jpg”這類文件誤以為是后綴名為jpg的圖片文件,但實(shí)際上卻是可執(zhí)行文件,運(yùn)行后肯定又悲劇了。
這里,最主要的就是取消掉“隱藏已知文件擴(kuò)展名”,方法如下:
依次點(diǎn)擊,開始菜單->控制面板->文件夾選項(xiàng),然后如下圖設(shè)置即可,
當(dāng)然,雙后綴和unicode反轉(zhuǎn)中沒有可執(zhí)行文件的擴(kuò)展名時(shí),就沒多大必要擔(dān)心了??蓤?zhí)行文件的擴(kuò)展名包括exe、bat、com、msi等。另外,CAD文件、office文件、PDF文件等也需要注意,因?yàn)檫@些文件都有可能感染病毒,如CAD病毒、宏病毒等,打開帶有這些病毒的文件時(shí),可能會(huì)使電腦上的正常CAD文件和office文件受損,如果可能,盡量使用最新的正版軟件打開這類文件或者是考慮安裝能防CAD病毒或宏病毒的殺毒軟件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打開就沒事。
除了雙后綴和unicode反轉(zhuǎn),某些特殊的文件名的文件也需要注意,例如過于簡(jiǎn)單的文件名,如1.exe、d.exe等;與系統(tǒng)文件或有名軟件的名稱極為相似的文件名,如expIore.exe、QQDown1oad.exe等;看起來像網(wǎng)址的文件,如wenwen.soso.com、www.baidu.com等;擴(kuò)展名偏門的文件也不要隨意打開,例如hta、pif、vbs之類的。
2、通過數(shù)字簽名判斷
程序上的數(shù)字簽名標(biāo)明了程序的廠商,在軟件上主要就是用于驗(yàn)證軟件的完整性,在發(fā)布后有沒有被修改過。正規(guī)公司出品的軟件都有有效的數(shù)字簽名。
如果聲稱自己是正規(guī)公司出品,或者是軟件名或文件名是某個(gè)有名的軟件,但有沒有有效的數(shù)字簽名,那就可以肯定該軟件是仿冒的。其中數(shù)字簽名無效的軟件比沒有數(shù)字簽名的軟件更可疑,因?yàn)閿?shù)字簽名無效在屬性里不能直接看到,很容易將之誤解為是某個(gè)正規(guī)公司的軟件。需要注意的是,大多數(shù)解除軟件、第三方修改版軟件都沒有數(shù)字簽名,這些很危險(xiǎn),因?yàn)闊o法驗(yàn)證在發(fā)布后是否被修改過。
下面是數(shù)字簽名的驗(yàn)證方式(以傲游3為例):
(1)、在傲游3主程序(Maxthon.exe)上右擊,在彈出菜單中選擇“屬性”,在屬性窗口中單擊數(shù)字簽名選項(xiàng)卡:
2、在數(shù)字簽名選項(xiàng)卡中選中簽名,單擊詳細(xì)信息查看證書的詳細(xì)信息:
在這里面,需要特別注意查看數(shù)字簽名是否有效,數(shù)字簽名有效,該軟件可信,數(shù)字簽名無效,該軟件就很可疑了;還需要注意頒發(fā)者,如果頒發(fā)者名不見經(jīng)傳,那也需要注意。比較常見的有一下幾種:COMODO、VeriSign、Microsoft等。
二、根據(jù)多引擎掃描網(wǎng)站的結(jié)果判斷:
這是判斷某個(gè)文件是否是病毒木馬的另一個(gè)較快的辦法。
多引擎掃描網(wǎng)站利用網(wǎng)站服務(wù)器上的殺軟引擎,將用戶上傳的文件進(jìn)行掃描,得出掃描結(jié)果。利用這個(gè)結(jié)果,有時(shí)候可以很快判斷文件是不是病毒。
一般來說,當(dāng)某個(gè)文件,所有殺毒軟件引擎都報(bào)毒,或上段提到的幾個(gè)殺毒軟件都報(bào)毒,那幾乎可以肯定該文件是惡意文件,打開會(huì)導(dǎo)致電腦出問題。如果所有殺毒軟件都沒有報(bào)毒,而文件在網(wǎng)絡(luò)上又已經(jīng)有一段時(shí)間了,那該文件幾乎不可能是惡意軟件。
當(dāng)然更多的情況是一些殺毒軟件報(bào)毒,一些不報(bào)毒,這個(gè)時(shí)候就需要對(duì)殺毒軟件的及病毒名進(jìn)行綜合查看,有名的殺毒軟件,特別是在AV-TEST、AV-C測(cè)試中誤報(bào)較少的殺軟報(bào)毒一般都可以確定該文件確實(shí)有問題。此外病毒名中往往會(huì)帶有殺軟判斷該文件是惡意文件的理由,例如:backdoor意為后門,即軟件作者可能繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán);spy、Trojan為間諜軟件,即軟件作者可能利用此軟件在未經(jīng)用戶允許的情況下暗中收集用戶信息;malware是病毒的一種,可能感染并損害計(jì)算機(jī);win32一般多見于病毒的命名中;Generic代表該文件是被啟發(fā)式掃描引擎報(bào)毒(這類報(bào)毒的誤報(bào)可能性最高)等等,具體可以在軟件官網(wǎng)上查詢到。